觀點

「 人」是資安最重要的關鍵

2005 / 11 / 04
詹志文
「 人」是資安最重要的關鍵

安全是人、科技、流程的結合
從事資安工作是一個變動快速、有趣,又富有挑戰性的工作,也吸引不少人的投入。不過當談到「安全」的時候,雖然這是與每個人均密切相關的事,但是每個人對於安全卻有各自不同的定義,重視的程度也不一樣,此外,安全也是一種逐漸演進的過程,會隨著時間與技術的推移而改變,資安人必須隨時注意有哪些新的威脅、新的技術,以及未來的需求,才能跟的上時代的腳步。
要解析安全的定義,可以從人、科技、流程等三個方向來思考,跟人有關的部分包括對人的訓練與認知上的建立、認證、實體安全、人員安全、資訊系統安全監督等,在科技方面則有科技的層次、安全的準則、IT/IA(Information Technology /Information Assurance)的獲得、風險評估、驗證與鑑定等,與流程相關的則有評估、監督、入侵偵測、警告、應變、回復等流程,必須兼顧這三個領域,彼此間相互交疊管理,安全的範圍涵蓋實體世界與虛擬世界,無論是軟體還是硬體都需要去了解,才能真正做好安全工作。
提供一個安全平台是所有企業的責任,若因為安全出了問題,導致服務受到影響,影響性便相當大,例如假使ATM網路受到攻擊,則金融產業會受到重大的影響,每個人的生活也會面臨不便,甚至招受損失,可見安全的重要性。
為何「人」才是最重要的關鍵呢?因為有人才會產生巨大的差異性,空有科技產品,但缺乏由正確的人以正確的方式來使用正確的工具,仍然達不到預期的效果。事實上,安全的經驗是透過從錯誤中學習,包括從自己與他人的錯誤經驗中,都可以得到參考收穫,當錯誤發生時,光是責難並不能解決問題,而是要提出一套解決方案出來。一般來說,錯誤的發生也常是出現在不同的區域,因此必須更全面性地看待發生問題的原因,如此一來,才能減少錯誤發生的機率。
其實每個人對於「安全」的認知都不相同,包括自己本身是否認為「安全」真的很重要?這些認知上的差異性便會對安全性產生影響,當發生資安事件時,除了直接負責資安工作的人之外,其他人對於資安的關心程度,都會對企業發展造成影響。安全政策的推廣,影響最大的是企業文化,也會影響到管理者的決策,身為一個資安從業人員,便具有跟主管解釋資安重要性的義務。

證照是評估資安人的標準
既然「人」的重要性那麼高,那又該如何尋找到正確的人呢?在人才聘僱的過程中,我們可藉由證書、以往的職場表現,以及透過NDA(Non-Disclosure Agreement,保密合約)與其他合約來管理,此外也可以透過內部與外部的教育訓練課程,借用顧問服務的輔導,來提升現有人員的專業能力。
在企業中尤其是負責決策的人,對於企業文化、安全的認知,更是有決定性的影響,必須在企業內部建立每個人的責任感,以及對工作與組織的認同感,在政策與制度上避免員工抄「捷徑」,經常性地再次確認與驗證工作的成效,並防止特權被濫用,如此才能做好資安的管理工作。
在資安工作的宣導上,對於訓練與教育的觀念上,其實是有差異性存在的,訓練的意義比教育還要更為強勢,是告訴你該怎麼做,你就必須要去遵守,且需要所有的員工明瞭與接受這些規範的意義與目的,透過政策的制定,告知員工需要遵守的方向,必須強制執行監控、監督工作,並有明確的訓練步驟。
安全程序的制定,必須進行一整套的授權與稽核制度,定義哪些人可獲得授權,哪些人/事是例外的狀況,而程序的制定必須要經過溝通的過程,並符合最新的實際狀況,以及配合管理系統的支持才能夠成功。在道德觀的認知方面,主事者必須明確設定自己的預期想法,哪些事屬於詐騙的行為,並避免公司資產被濫用,這些道德政策的聲明,必須由上到下去貫徹實行。
證書是評估一個人的能力的最好方法,可以了解一個人的訓練與教育的程度,了解對方的能力範圍,以及建立專業能力與最基本的支援能力。此外,也可以透過工作轉換、職務的代理、訓練與審視、角色與責任的定義、授權的過程、責任的分擔等方式,來進行人才的培訓工作,以及告訴相關的人哪些是他必須知道的事,給予其最少的特權,並可透過專案管理的方式,根據其達到的工作里程碑與目標,來進行工作的評估指標。
安全問題的挑戰分別來自內部與外部,此外還包括應用程式出錯、競爭對手的入侵、硬體的當機等,必須採取預防性的維護措施,並對可能出錯的地方進行預先告知,便可減少安全問題發生的機率。在當前的社會上,仍然有許多恐嚇、詐騙、個人資料被濫用的情形出現,此外像是設備與儲存媒體的管理,如何建立應變計畫,以及了解新的風險與威脅,保持對新科技的了解等,都是資安工作者所應該去了解的,此外資安人也需要保有創造力,對新事物保持興趣,擁有嚴肅但是誠懇的工作態度,了解安全應變計畫,知道該如何達到目標,並有一顆永不放棄的心,才是資安人的基本態度。資安工作者仍必須保持向他人學習的心,不斷地嘗試新的方法,持續找到前進的動力,並了解每個人都有其不同的學習風格。

總結
最後,總結來說,安全意味著是不同的事面對不同的人,安全是人、科技、流程的組成,此外,雖然安全是不斷在變動中的目標,但仍是可以達到的方向。由於美國正在推行沙賓法案,導致企業對於CISO的需求增加,也加深了大眾對安全的重視,相信資安工作者在社會中的重要性會日漸提升,在此與所有資安人共勉之。